بینش در مورد Kerberos – Community Dev

یک پروتکل مهم در زمینه AD Kerberos است ¹بشر در ابتدا در MIT به عنوان بخشی از پروژه آتنا در سال 1988 توسعه یافت ²، Kerberos به سنگ بنای هواداری ایمن در سیستم های توزیع شده تبدیل شده و نقش مهمی در تأمین تعامل در حوزه های Active Directory دارد. هدف کلی Kerberos تأیید اعتبار کاربر به یک سرویس از طریق یک شبکه ناامن است. این امر با ارائه راهی برای احراز هویت متقابل حاصل می شود ، فرایندی که در آن هم کاربر و هم سرویس هویت یکدیگر را تأیید می کنند و در عین حال اطمینان از پیام های احراز هویت به موقع و غیر سازگار است. برای انجام این کار ، هر یک از طرفین یک چالش مستقل برای تأیید طراوت تعامل ایجاد می کند. این چالش باید به عنوان بخشی از تأیید اعتبار ، رمزگذاری شود ، با استفاده از کلید خصوصی حزب که این چالش را صادر می کند ، رمزگذاری شده است. یک نیاز اصلی این چالش این است که قبلاً برای تأیید اعتبار دو طرف قبلاً نباید از آن استفاده شده باشد. این منحصر به فرد بودن را می توان با یکی از سه روش تضمین کرد: حفظ سابقه ای از همه چالش های قبلاً استفاده شده ، استفاده از یک توالی در حال افزایش یکنواخت مانند زمان بندی ، یا تولید تعداد تصادفی به اندازه کافی بزرگ برای دستیابی به یک منحصر به فرد بودن احتمالی ³بشر برای درک کامل عملکرد Kerberos ، آشنایی با اصطلاحات کلیدی زیر ضروری است ⁴:

• قلمرو: دامنه یا گروهی از سیستم هایی که Kerberos صلاحیت تأیید اعتبار کاربران و خدمات را دارد. قلمروهای متعدد می توانند وجود داشته باشند و می توانند برای تسهیل احراز هویت در حوزه ها به هم پیوسته باشند.
• اصلی: یک هویت منحصر به فرد در یک قلمرو ، که می تواند یک کاربر یا یک سرویس باشد.
• مشتری: فرایندی که به نمایندگی از کاربر برای دسترسی به یک سرویس خاص عمل می کند.
• کاربر: یک موجودیت فردی در یک قلمرو. یک قلمرو ممکن است میزبان چندین کاربر و مشتری های مرتبط آنها باشد.
• خدمت: منبع یا برنامه ای که مشتری می تواند به آن دسترسی پیدا کند ، مانند سرور پرونده ، برنامه یا سایر منابع شبکه ای. چندین سرویس می تواند در یک قلمرو واحد وجود داشته باشد.

• مرکز توزیع کلیدی (KDC): یک مقام متمرکز که مسئول صدور بلیط و تولید کلیدهای جلسه موقت برای تسهیل تأیید اعتبار امن بین کاربران و خدمات است. KDC تمام کلیدهای متقارن مورد استفاده در قلمرو را حفظ می کند. از دو مؤلفه اصلی تشکیل شده است:

  • سرور احراز هویت: هویت کاربرانی که درخواست های دسترسی را دارند ، تأیید می کند و برای تأیید اعتبار بیشتر بلیط بلیط اعطا (TGT) را صادر می کند.
  • سرور اعطای بلیط (TGS): برای فعال کردن ارتباط ایمن با سرویس درخواست شده ، درخواست های دسترسی کاربران را برای خدمات خاص و بلیط های خدمات را تأیید می کند.

• معتادان: سوابق حاوی اطلاعات ، مانند زمان سنج ، با استفاده از کلید جلسه به اشتراک گذاشته شده بین مشتری و سرور تولید می شود.

• بلیط: ساختار داده های رمزگذاری شده حاوی اطلاعاتی مانند کلیدهای سرویس ، زمانی و شناسه های مشتری. بلیط ها با کلید مخفی سرور مقصد رمزگذاری می شوند تا از انتقال ایمن اطمینان حاصل شود.

نکات زیر یک نمای کلی از فرآیند احراز هویت را ارائه می دهد که کاربر سعی در دسترسی به یک سرویس محافظت شده از کربروس دارد ، در حالی که شکل زیر مبادلات پیام دقیق را نشان می دهد ⁴:

1. کاربر با ارسال یک پیام رمزگذاری نشده ، ارتباط با سرور تأیید اعتبار را آغاز می کند.
2. سرور احراز هویت هویت کاربر را تأیید می کند و با دو مؤلفه پاسخ می دهد: یک TGT و یک پیام دوم رمزگذاری شده با کلید مخفی کاربر ، که به طور ایمن در KDC ذخیره می شود.
3. کاربر با استفاده از کلید مخفی خود پاسخ را رمزگشایی می کند و درخواست جدیدی را به TGS منتقل می کند ، از جمله TGT به دست آمده از سرور تأیید اعتبار.
4. TGS TGT را رمزگشایی و تأیید می کند. پس از اعتبارسنجی موفقیت آمیز ، TGS بلیط خدماتی خاص برای سرویس درخواست شده را تولید می کند.
5. بلیط خدمات به همراه اطلاعات اضافی با فرمت رمزگذاری شده به کاربر ارسال می شود.
6. کاربر پیام دریافت شده را رمزگشایی می کند ، یک پیام تأیید کننده را ایجاد می کند و هم تأیید کننده و هم بلیط خدمات را به سرویس درخواست شده ارسال می کند.
7. این سرویس پیام های دریافت شده را رمزگشایی و تأیید می کند. پس از اعتبارسنجی موفقیت آمیز ، پیام تأیید کننده خود را برای تأیید هویت کاربر و یکپارچگی ارتباطات ایجاد می کند.
8. این سرویس پیام تأیید کننده نهایی را به کاربر ارسال می کند و روند تأیید اعتبار متقابل را تکمیل می کند.

1. B. Neuman and T. Ts'o ، “Kerberos: یک سرویس تأیید اعتبار برای شبکه های رایانه ای ،” مجله ارتباطات IEEE ، جلد. 32 ، نه. 9 ، صص 33-38 ، سپتامبر 1994 ، نام کنفرانس: مجله ارتباطات IEEE. آنلاین

2. JG Steiner ، C. Neuman ، and Ji Schiller ، “Kerberos: یک سرویس تأیید اعتبار برای سیستم های شبکه باز” ، 1988.

3. D. Otway و O. Rees ، “احراز هویت متقابل کارآمد و به موقع” ، بررسی سیستم های عامل ACM SIGOPS ، جلد. 21 ، نه. 1 ، صص 8-10 ، ژانویه 1987. آنلاین

4. صدور گواهینامه مقصد ، “احراز هویت Kerberos توضیح داده شد | یک شیرجه عمیق” ، آوریل 2020. آنلاین